8 какие свойства информации являются наиболее важными с точки зрения обеспечения ее безопасности

Обновлено: 16.05.2024

\u0421 \u0442\u043e\u0447\u043a\u0438 \u0437\u0440\u0435\u043d\u0438\u044f \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0442\u0438\u043a\u0438 \u043d\u0430\u0438\u0431\u043e\u043b\u0435\u0435 \u0432\u0430\u0436\u043d\u044b\u043c\u0438 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u043e\u0431\u0449\u0438\u0435 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0435 \u0441\u0432\u043e\u0439\u0441\u0442\u0432\u0430: \u0434\u043e\u0441\u0442\u043e\u0432\u0435\u0440\u043d\u043e\u0441\u0442\u044c, \u043f\u043e\u043b\u043d\u043e\u0442\u0430, \u0442\u043e\u0447\u043d\u043e\u0441\u0442\u044c, \u0430\u043a\u0442\u0443\u0430\u043b\u044c\u043d\u043e\u0441\u0442\u044c, \u043f\u043e\u043b\u0435\u0437\u043d\u043e\u0441\u0442\u044c, \u0446\u0435\u043d\u043d\u043e\u0441\u0442\u044c, \u0441\u0432\u043e\u0435\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e\u0441\u0442\u044c, \u043f\u043e\u043d\u044f\u0442\u043d\u043e\u0441\u0442\u044c, \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u043e\u0441\u0442\u044c, \u043a\u0440\u0430\u0442\u043a\u043e\u0441\u0442\u044c \u0438 \u043f\u0440.

\u041e\u0431\u044a\u0435\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u044c \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438. \u0418\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u0432 \u043b\u044e\u0431\u043e\u043c \u0441\u0432\u043e\u0451\u043c \u043f\u0440\u043e\u044f\u0432\u043b\u0435\u043d\u0438\u0438 \u043e\u0431\u044a\u0435\u043a\u0442\u0438\u0432\u043d\u0430, \u043e\u043d\u0430 \u043e\u0442\u043e\u0431\u0440\u0430\u0436\u0430\u0435\u0442 \u043e\u0431\u044a\u0435\u043a\u0442\u0438\u0432\u043d\u0443\u044e \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u044c. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u0444\u0440\u0430\u0437\u0430 \"\u041d\u0430 \u0443\u043b\u0438\u0446\u0435 \u0442\u0451\u043f\u043b\u0430\u044f \u043f\u043e\u0433\u043e\u0434\u0430\" \u043e\u0437\u043d\u0430\u0447\u0430\u0435\u0442, \u0447\u0442\u043e \u0447\u0435\u043b\u043e\u0432\u0435\u043a \u0435\u0451 \u043f\u0440\u043e\u0438\u0437\u043d\u0435\u0441\u0448\u0438\u0439 \u0441\u0447\u0438\u0442\u0430\u0435\u0442 \u043f\u043e\u0433\u043e\u0434\u0443 \u043d\u0430 \u0443\u043b\u0438\u0446\u0435 \u0442\u0451\u043f\u043b\u043e\u0439, \u0442.\u0435. \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0435\u0439 \u0432 \u0434\u0430\u043d\u043d\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u0431\u0443\u0434\u0435\u0442 \u044f\u0432\u043b\u044f\u0442\u044c\u0441\u044f \u0442\u043e, \u0447\u0442\u043e \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0451\u043d\u043d\u044b\u0439 \u0447\u0435\u043b\u043e\u0432\u0435\u043a \u043f\u0440\u043e\u0438\u0437\u043d\u0451\u0441 \u0444\u0440\u0430\u0437\u0443 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0433\u043e \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u043d\u0438\u044f.

\u0414\u043e\u0441\u0442\u043e\u0432\u0435\u0440\u043d\u043e\u0441\u0442\u044c \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438. \u0418\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u0434\u043e\u0441\u0442\u043e\u0432\u0435\u0440\u043d\u0430, \u0435\u0441\u043b\u0438 \u043e\u043d\u0430 \u043e\u0442\u0440\u0430\u0436\u0430\u0435\u0442 \u0438\u0441\u0442\u0438\u043d\u043d\u043e\u0435 \u043f\u043e\u043b\u043e\u0436\u0435\u043d\u0438\u0435 \u0434\u0435\u043b. \u0414\u043e\u0441\u0442\u043e\u0432\u0435\u0440\u043d\u0430\u044f \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043f\u043e\u043c\u043e\u0433\u0430\u0435\u0442 \u043f\u0440\u0438\u043d\u044f\u0442\u044c \u043d\u0430\u043c \u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u043e\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u0435. \u041d\u0435\u0434\u043e\u0441\u0442\u043e\u0432\u0435\u0440\u043d\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u043f\u043e \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u043f\u0440\u0438\u0447\u0438\u043d\u0430\u043c:

\u043f\u0440\u0435\u0434\u043d\u0430\u043c\u0435\u0440\u0435\u043d\u043d\u043e\u0435 \u0438\u0441\u043a\u0430\u0436\u0435\u043d\u0438\u0435 (\u0434\u0435\u0437\u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f) \u0438\u043b\u0438 \u043d\u0435\u043f\u0440\u0435\u0434\u043d\u0430\u043c\u0435\u0440\u0435\u043d\u043d\u043e\u0435 \u0438\u0441\u043a\u0430\u0436\u0435\u043d\u0438\u0435 \u0441\u0443\u0431\u044a\u0435\u043a\u0442\u0438\u0432\u043d\u043e\u0433\u043e \u0441\u0432\u043e\u0439\u0441\u0442\u0432\u0430;

\u0438\u0441\u043a\u0430\u0436\u0435\u043d\u0438\u0435 \u0432 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0435 \u0432\u043e\u0437\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f \u043f\u043e\u043c\u0435\u0445 (\u00ab\u0438\u0441\u043f\u043e\u0440\u0447\u0435\u043d\u043d\u044b\u0439 \u0442\u0435\u043b\u0435\u0444\u043e\u043d\u00bb) \u0438 \u043d\u0435\u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0442\u043e\u0447\u043d\u044b\u0445 \u0441\u0440\u0435\u0434\u0441\u0442\u0432 \u0435\u0435 \u0444\u0438\u043a\u0441\u0430\u0446\u0438\u0438.

\u041f\u043e\u043b\u043d\u043e\u0442\u0430 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438. \u0418\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0437\u0432\u0430\u0442\u044c \u043f\u043e\u043b\u043d\u043e\u0439, \u0435\u0441\u043b\u0438 \u0435\u0435 \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0434\u043b\u044f \u043f\u043e\u043d\u0438\u043c\u0430\u043d\u0438\u044f \u0438 \u043f\u0440\u0438\u043d\u044f\u0442\u0438\u044f \u0440\u0435\u0448\u0435\u043d\u0438\u0439. \u041d\u0435\u043f\u043e\u043b\u043d\u0430\u044f \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043c\u043e\u0436\u0435\u0442 \u043f\u0440\u0438\u0432\u0435\u0441\u0442\u0438 \u043a \u043e\u0448\u0438\u0431\u043e\u0447\u043d\u043e\u043c\u0443 \u0432\u044b\u0432\u043e\u0434\u0443 \u0438\u043b\u0438 \u0440\u0435\u0448\u0435\u043d\u0438\u044e.

\u0422\u043e\u0447\u043d\u043e\u0441\u0442\u044c \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u0442\u0441\u044f \u0441\u0442\u0435\u043f\u0435\u043d\u044c\u044e \u0435\u0435 \u0431\u043b\u0438\u0437\u043e\u0441\u0442\u0438 \u043a \u0440\u0435\u0430\u043b\u044c\u043d\u043e\u043c\u0443 \u0441\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u044e \u043e\u0431\u044a\u0435\u043a\u0442\u0430, \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430, \u044f\u0432\u043b\u0435\u043d\u0438\u044f \u0438 \u0442. \u043f.

\u0410\u043a\u0442\u0443\u0430\u043b\u044c\u043d\u043e\u0441\u0442\u044c \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u2014 \u0432\u0430\u0436\u043d\u043e\u0441\u0442\u044c \u0434\u043b\u044f \u043d\u0430\u0441\u0442\u043e\u044f\u0449\u0435\u0433\u043e \u0432\u0440\u0435\u043c\u0435\u043d\u0438, \u0437\u043b\u043e\u0431\u043e\u0434\u043d\u0435\u0432\u043d\u043e\u0441\u0442\u044c, \u043d\u0430\u0441\u0443\u0449\u043d\u043e\u0441\u0442\u044c. \u0422\u043e\u043b\u044c\u043a\u043e \u0432\u043e\u0432\u0440\u0435\u043c\u044f \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u043d\u0430\u044f \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u043f\u043e\u043b\u0435\u0437\u043d\u0430.

\u041f\u043e\u043b\u0435\u0437\u043d\u043e\u0441\u0442\u044c (\u0446\u0435\u043d\u043d\u043e\u0441\u0442\u044c) \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438. \u041f\u043e\u043b\u0435\u0437\u043d\u043e\u0441\u0442\u044c \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u043e\u0446\u0435\u043d\u0435\u043d\u0430 \u043f\u0440\u0438\u043c\u0435\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043a \u043d\u0443\u0436\u0434\u0430\u043c \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u044b\u0445 \u0435\u0435 \u043f\u043e\u0442\u0440\u0435\u0431\u0438\u0442\u0435\u043b\u0435\u0439 \u0438 \u043e\u0446\u0435\u043d\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u043f\u043e \u0442\u0435\u043c \u0437\u0430\u0434\u0430\u0447\u0430\u043c, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u043e\u0436\u043d\u043e \u0440\u0435\u0448\u0438\u0442\u044c \u0441 \u0435\u0435 \u043f\u043e\u043c\u043e\u0449\u044c\u044e.

Информацию можно упорядочить по ряду признаков, т.е. провести ее классификацию. В связи с этим, информация может быть классифицирована следующим образом:

1. По способам восприятия:

2. По форме представления:

3. По форме передачи:

Вербальная (словесная, звуковая)

Невербальная (представленная на определенном носителе: бумаге, дискете и т.д.)

Спутниковая и т.д.

Организационная и т.д.

5. По общественному значению:

6. По изменчивости во времени:

Условно-постоянная (например, место жительства человека)

Условно-переменная (например, последовательность календарных месяцев)

Постоянная (например, дата рождения человека)

7. По режиму передачи от одного потребителя информации другому:

В произвольные сроки

Принудительно в определенные сроки.

Как и всякий объект, информация обладает свойствами. Информация отличается от других объектов природы и общества характерной особенностью: на свойства информации влияют как свойства исходных данных, составляющих ее содержательную часть, так и свойства методов, фиксирующих эту информацию.

Можно выделить 3 группы свойств информации:

1. Атрибутивные свойства – свойства, без которых информация не существует.

2. Прагматические свойства – свойства, которые характеризуют степень полезности информации для пользователя, потребителя и практики.

3. Динамические свойства – свойства, которые характеризуют изменение информации во времени.

Рассмотрим подробнее указанные группы свойств информации.

Атрибутивные свойства информации.

Неотрывность информации от физического носителя и языковая природа информации. Однако, информация не связана жестко ни с конкретным языком, ни с конкретным носителем.

Непрерывность. Информация имеет свойство сливаться с уже зафиксированной и накопленной ранее, тем самым, способствуя поступательному развитию и накоплению.

Воспроизводимость информации тесно связана с ее передаваемостью и не является ее независимым базовым свойством. Если передаваемость означает, что не следует считать существенными пространственные отношения между частями системы, между которыми передается информация, то воспроизводимость характеризует неиссякаемость и неистощимость информации, т.е. при копировании информация остается тождественной самой себе.

Преобразуемость – фундаментальное свойство информации. Оно означает, что информация может менять способ и форму своего существования.

Копируемость есть разновидность преобразования информации, при котором ее количество не меняется. В общем случае количество информации в процессах преобразования меняется, но возрастать не может.

Прагматические свойства информации.

Адекватность – степень соответствия реальному объективному состоянию дела. Неадекватная информация может образовываться при создании новой информации на основе неполных или недостоверных данных. Однако и полные, и достоверные данные могут приводить к созданию неадекватной информации в случае применения к ним неадекватных методов.

Актуальность – степень соответствия информации текущему моменту времени. Актуальность – важность для настоящего времени, злободневность, насущность. Только вовремя полученная информация может быть полезна.

Доступность – свойство информации, характеризующее возможность ее получения данным потребителем. Отсутствие доступа к данным или соответствующих методов обработки данных приводит к одинаковому результату: информация оказывается недоступной.

Достоверность. Информация достоверна, если она отражает истинное положение дел. Объективная информация всегда достоверна, но достоверная информация может быть как объективной, так и субъективной. Достоверная информация помогает принять нам правильное решение. Недостоверной информация может быть по следующим причинам:

- преднамеренное искажение (дезинформация) или непреднамеренное искажение субъективного свойства;

Защищенность – свойство, характеризующее невозможность несанкционированного использования или изменения информации.

Объективность и субъективность. Объективный – существующий вне и независимо от человеческого сознания. Информация – это отражение внешнего объективного мира. Информация объективна, если она не зависит от методов ее фиксации, чьего-либо мнения, суждения. Понятие объективности информации является относительным, т.к. методы являются субъективными. Более объективной принято считать ту информацию, в которую методы вносят меньший субъективный элемент. Объективную информацию можно получить с помощью исправных датчиков, измерительных приборов. Отражаясь в сознании конкретного человека, информация перестает быть объективной, т.к., преобразовывается (в большей или меньшей степени) в зависимости от мнения, суждения, опыта, знаний конкретного субъекта. В ходе информационного процесса степень объективности информации всегда понижается. Это свойство учитывают, например, в правовых дисциплинах, где по-разному обрабатываются показания лиц, непосредственно наблюдавших события или получивших информацию косвенным путем (посредством умозаключений или со слов третьих лиц).

Полезность. Уменьшение неопределенности сведений об объекте. Полезность может быть оценена применительно к нуждам конкретных ее потребителей и оценивается по тем задачам, которые можно решить с ее помощью. Дезинформация расценивается как отрицательные значения полезной информации.

Полнота. Характеризует качество информации и определяет достаточность данных для принятия решений или для создания новых данных на основе имеющихся. Неполная информация может привести к ошибочному выводу или решению.

Релевантность – способность информации соответствовать нуждам (запросам) потребителя.

Смысл и новизна. Информация перемещается в социальных коммуникациях (взаимодействиях потребителей) и выделяется та ее часть, которая нова для потребителя.

Точность информации определяется степенью ее близости к реальному состоянию объекта, процесса, явления и т. п.

Ценность. Ценность информации различна для различных потребителей и пользователей. Самая ценная информация – объективная, достоверная, полная, и актуальная. При этом следует учитывать, что и необъективная, недостоверная информация (например, художественная литература), имеет большую значимость для человека.

Эргономичность – свойство, характеризующее удобство формы или объема информации с точки зрения данного потребителя.

Динамические свойства информации.

Кумулятивность (от лат. cumulatio – увеличение, скопление) характеризует накопление и хранение информации.

Рост информации. С течением времени количество информации растет, информация накапливается, происходит ее систематизация, оценка и обобщение.

Старение. Информация подвержена влиянию времени. Старение информации заключается в уменьшении ее ценности с течением времени. Старит информацию не само время, а появление новой информации, которая уточняет, дополняет или отвергает полностью или частично более раннюю. Научно-техническая информация стареет быстрее, эстетическая (произведения искусства) – медленнее.

Стираемость. Это свойство связано с таким преобразованием информации (передачей), при котором ее количество уменьшается и становится равным нулю.

Запоминаемость. С запоминаемой информацией мы имеем дело в реальной практике.

Информация, особенно в электронном виде, может быть представлена в разных видах. Информацией можно считать и отдельный файл, и базу данных, и одну запись в ней, и целиком программный комплекс. Все эти объекты могут подвергнуться и подвергаются атакам со стороны асоциальных лиц. При хранении, поддержании и предоставлении доступа к любому информационному объекту его владелец или уполномоченное им лицо накладывает набор правил по работе с ней. Умышленное их нарушение классифицируется как атака на информацию.

Компьютерные атаки приносят и огромный моральный ущерб. Никакому пользователю компьютерной сети не хочется, чтобы его письма кроме адресата получили еще 5-10 человек, или, весь текст, набираемый на клавиатуре, копировался в буфер, а затем при подключении к Интернет оправлялся на определенный сервер. А именно так часто и происходит. Несколько интересных цифр об атаках на информацию. Основные причины повреждений электронной информации распределяются следующим образом. Неумышленная ошибка человека - 52 % случаев, умышленные действия человека - 10 % случаев, отказ техники - 10 % случаев, повреж- дения в результате пожара - 15 % случаев, повреждения водой - 10 % случаев. Каждый десятый случай повреждения электронных данных связан с компьютерными атаками.

Что именно предпринимают злоумышленники, добравшись до информации, в 44 % случаев взлома были произведены непосредственные кражи денег с электронных счетов, в 16 % случаев выводилось из строя программное обеспечение, столь же часто - в 16 % случаев - проводилась кража информации с различными последствиями, в 12 % случаев информация была сфальси- фицирована, в 10 % случаев злоумышленники с помощью компьютера заказали услуги, к которым в принципе не должны были иметь доступа.

В отношении информационных систем применяются иные категории - надежность, точность, контроль доступа, контролируемость, контроль идентификации, устойчивость к умышленным сбоям. Надежность - гарантия того, что система в нормальном и внештатном режимах ведет себя так, как запланировано. Точность - гарантия точного и полного выполнения всех команд. Контроль доступа - гарантия того, что в любой момент может быть произведена полноценная проверка любого компонента программного комплекса. Контроль идентификации - гарантия того, клиент, подключенный в данный момент к системе, является именно тем, за кого он себя выдает. Устойчивость к умышленным сбоям - гарантия того, что при умышленным внесении ошибок в пределе заранее оговоренных норм система будет вести себя нормально.

3. Модели защиты информации.

Одна из первых моделей была модель Биба. Согласно ей все субъекты и объекты предварительно разделяются по нескольким уровня доступа, а затем на их взаимодействия накладываются два ограничения. Во-первых, субъект не может вызывать на исполнение субъекты с более низким уровнем доступа. Во-вторых, субъект не может модифицировать объекты с более высоким уровнем доступа. Модель Гогера-Гезингера основана на теории автоматов. Согласно ей система может при каждом действии переходить из одного разрешенного состояния только в несколько других. Субъекты и объекты в данной модели защиты разбиваются на группы - домены, и переход системы из одного состояния в другое выполняется только в соответствии с таблицей разрешений, в которой указано какие операции может выполнять субъект. В данной модели при переходе системы из одного состояния в другое используются транзакции, что обеспечивает общую целостность системы.

Сазерлендская модель защиты делает акцент на взаимодействии субъектов и потоков информации. Здесь используется машина состояний со множеством разрешенных комбинаций состояний и набором начальных позиций. В данной модели исследуется поведение множественных композиций функций перехода из одного состояния в другое.

Важную роль в теории защиты информации играет модель Кларка-Вилсона. Основана данная модель на повсеместном использовании транзакций и оформлении прав доступа субъектов к объектам. В данной модели впервые исследована защищенность третьей стороны в данной проблеме - стороны, поддерживающей всю систему безопасности. Эту роль в информационных системах обычно играет программа-супервизор. В модели Кларка-Вилсона транзакции впервые были построены по методу верификации, то есть идентификация субъекта перед выполнением команды от него и повторно после выполнения. Это позволило снять проблему подмены автора в момент между его идентификацией и собственно командой. Модель Кларка-Вилсона считается одной из совершенных в отношении поддержания целостности информационных систем.

Злоумышленники тщательно изучают системы безопасности перед проникновением в нее. Часто они находят очевидные и простые методы взлома, которые разработчики просто проглядели, создавая возможно очень хорошую систему идентификации или шифрования. Рассмотрим популярные и очевидные технологии несанкционированного доступа. Вспомним старое правило: "Прочность цепи не выше прочности самого слабого звена". Эта аксиома постоянно цитируется, когда речь идет о компьютерной безопасности. Например, как ни была прочна система, если пароль на доступ к ней лежит в текстовом файле в центральном каталоге или записан на экране монитора - это уже не конфиденциальная система. Примеров, в которых разработчики системы защиты забывают или не учитывают простые методы проникновения в систему можно найти немало.

Например, при работе в сети Интернет не существует надежного автоматического подтверждения того, что данный пакет пришел именно от того отправителя (IP-адреса), который заявлен в пакете. Это позволяет даже при применении надежного метода идентификации первого пакета подменять все остальные, просто заявляя, что все они пришли тоже с этого IP-адреса.

Примерно та же проблема существует в сети Novell Netware - в ней сервер может поддерживать одновременно до 254 станций, и при наличии мощной системы идентификации аутентификация пакета ведется только по номеру станции. Это позволяет проводить следующую атаку - в присутствии в сети клиента-супервизора злоумышленнику достаточно послать 254 пакета с командой серверу, которую он хочет исполнить, перебрав в качестве псевдоотправителя все 254 станции. Один из отправленных пакетов совпадет с номером соединения, на котором находится клиент-супервизор и команда будет принята сервером к исполнению. Остальные 253 пакета будут проигнорированы.

В отношении шифрования - мощного средства защиты передаваемой информации от прослушивания и изменения - можно привести следующий метод, неоднократно использованный на практике. Злоумышленник, не зная пароля, которым зашифрованы данные или команды, передаваемые по сети, не может прочесть их или изменить. Но если у него есть возможность наблюдать, что происходит в системе после получения конкретного блока данных, то он может, не раскодируя информацию, послать ее повторно и добьется результатов, аналогичных команде супервизора.

Все это заставляет разработчиков защищенных систем постоянно помнить о простых и очевидных способах проникновения в систему и предупреждать их в комплексе.

Терминалы - это точки входа пользователей в информационную сеть. Если к ним имеют доступ несколько человек, при их проектировании и эксплуатации необходимо тщательное соблюдение целого комплекса мер безопасности.Несмотря на самоочевидность, самым распространенным способом входа в систему при атаках на информацию остается вход через официальный log-in запрос в систему. Вычислительная техника, которая позволяет провести вход в систему , называется в теории информационной безопасности терминалом. Терминология восходит ко временам суперЭВМ и тонких терминальных клиентов. Если система состоит из одного персонального компьютера, то он одновременно считается и терминалом и сервером. Доступ к терминалу может быть физически, когда терминал - ЭВМ с клавиатурой и дисплеем, либо удаленным - чаще всего по телефонной линии ( в этом случае терминалом является модем, подключенный либо непосредственно к системе, либо к ее физическому терминалу).

При использовании терминалов с физическим доступом нужно соблюдать следующие требования. Защищенность терминала должна соответствовать защищенности помещения. Терминалы без пароля могут присутствовать только в тех помещениях, куда имеют доступ лица с соответствующим лил более высоким уровнем доступа. Отсутствие имени регистрации возможно только в том случае, если к терминалу имеет доступ только один человек, либо если на группу лиц, имеющих доступ, распространяются общие меры ответственности. Терминалы, установленные в публичных местах должны всегда запрашивать имя регистрации и пароль. Системы контроля за доступом в помещение с установленным терминалом должны работать полноценно и в соответствии с общей схемой доступа к информации. В случае установки терминала в местах с большим скоплением народа клавиатура и дисплей должны быть оборудованы устройствами, позволяющему видеть их только работающему в данный момент клиенту (непрозрачные пластмассовые или стеклянные ограждения).

При использовании удаленных терминалов необходимо соблюдать следующие правила. Любой удаленный терминал должен запрашивать имя регистрации и пароль. Того, чтобы якобы никто не знает шестизначного номера вашего служебного модема, не достаточно для конфиденциальности вашей системы. При наличии специального программного обеспечения, которое можно найти в сети Интернет, и тонового набора для одного звонка достаточно 4 секунд. Это означает, что за одну минуту можно перебрать около 15 номеров телефонной станции с тем, чтобы узнать существует ли на этом телефонном номере модем. За час таким образом можно перебрать 1000 номеров, а за рабочий день повтором в ночное время всю АТС - 10000 номеров. Подобные операции производятся довольно часто, особенно в отношении фирм, связанных с компьютерами и компьютерными сетями, а также в отношении промышленных предприятий. Вторым требованием является своевременное отключение всех модемов, не требующихся в данный момент фирме (по вечерам или во время обеда), либо не контролируемых в данный момент вашими сотрудниками. По возможности следует использовать схему возвратного звонка от модема, поскольку она гарантирует с уровнем надежности АТС то, что удаленный клиент получил доступ с определенного телефонного номера. Из log-in запроса терминала рекомендуется убрать все непосредственные упоминания имени фирмы, ее логотипы - это не позволит компьютерным вандалам перебирающим номера с модемами, узнать log-in какой фирмы они обнаружили. Для проверки правильности соединения можно использовать неординарную приветственную фразу, афоризм или фиксированную последовательность букв и цифр, которые будут запоминаться у постоянных операторов этого терминала. Также при входе в систему рекомендуется выводить на экран предупреждение о том, что вход в систему без полномочий преследуется по закону.

Безотносительно от физического или коммутируемого доступа к терминалу, линия, соединяющая терминал с зоной ядра информационной системы должна быть защищена от прослушивания или весь обмен информацией должен вестись по конфиденциальной схеме идентификации и надежной схеме аутентификации клиента. Дальнейшие действия взломщика, получившего доступ к терминальной точке входа могут развиваться по двум основным направлениям. Попытки выяснения пароля прямо или косвенно и попытки входа в систему, совершенно без знания пароля, основываясь на ошибках в реализации программного или аппаратного обеспечения.

По материалам отечественной прессы.

АКЦИЯ ГОДА

Вторая статья первого цикла информационной безопасности будет посвящена краткому обзору основных понятий, касающихся безопасности АСУ. Постараюсь сделать её краткой и изложить весь представленный материал максимально лаконично. Первоначальных вопросов будет 6, в дальнейшем их количество может измениться. Погнали!

Навигация по статье:

Начиная работать в области защиты информации, вам как специалисту в этой области необходимо ориентироваться в руководящей документации, а этой в основном различные стандарты, которые помогут вам уяснять все тонкости вашей профессии. Да, порой это не так интересно, да, хочется не обращать на это внимание, но без ГОСТ’ов, к сожалению, никуда. В них содержится почти вся информация, необходимая для организации безопасности, а также при расследовании инцидентов, связанных с нарушением политики безопасности организации.

Первый стандарт с которым нам придется столкнуться расположен по данной ссылке (Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.). В данном документе представлены основные понятия безопасности и их взаимосвязь. Приступим к рассмотрению наших вопросов.

1. Определение безопасности

Безопасность. Как часто вам приходится слышать данное слово? Самым простым определением безопасности можно предположить как отсутствие опасностей. Однако, такое определение не совсем корректно отображает текущую реальность. Более точно определение безопасности можно дать следующим образом.

Безопасность - защищенность от опасностей, а вернее защищенность от возможного ущерба, наносимого при возможной реализации любых угроз.

Причём субъектом ущерба в конечном счёте всё равно станет человек. Даже если вред был нанесен непосредственно не человеку, то косвенный ущерб прилетит сотруднику организации.

2. Понятия автоматизированной системы и безопасности автоматизированной системы

С самого начала мы оперируем понятием автоматизированная система. При этом мы ни разу не раскрывали данное понятие. Дадим наконец определение данному термину.

Автоматизированная система - организационно-техническая система, которая представляет собой совокупность определенных компонентов, способная выполнять автоматизированную обработку информации с целью удовлетворения информационных потребностей субъектов информационных отношений.

  1. Технические средства обработки и передачи данных - (всеразличное техническое оборудование, сервера, персональные компьютеры, сетевое оборудование и др.)
  2. Программное обеспечение
  3. Информация, хранящаяся на различных носителях
  4. Персонал - конечные пользователи и обслуживающие организации

Раскрыв понятие автоматизированной системы можно дать понятие безопасности автоматизированной системы.

Безопасность автоматизированной системы - защищенность всех её компонентов от различного рода нежелательного воздействия.

3. Определение информации и информационных ресурсов

При выполнении мероприятий по защите автоматизированной системы мы сталкиваемся с таким понятием как информация, которая является одним из главных компонентов автоматизированной системы. Дадим определение понятию информация и информационные ресурсы

Информация - всевозможные сведения о фактах, событиях, процессах и явлениях, о состояниях объектов в какой-либой определенной предметной области.

На основе информации принимаются те или иные решения, которые помогают оптимизировать процесс управления автоматизированной системой. Информация может иметь различные свойства (о некоторых из них мы поговорим позже), при этом этими свойствами можно управлять для того чтобы получить необходимый нам результат в принятии решений.

Информационные ресурсы - различные отдельные документы, а также наборы (массивы) документов в информационных системах.

4. Категории субъектов информационных отношений

В момент когда происходит взаимодействие с информационными ресурсами, субъекты находятся в разного рода отношениях (касающиеся именно вопросов взаимодействия с информацией). Такие отношения, как некоторые уже догодались, называются информационными отношениями, а субъекты, которые в них участвуют - субъектами информационных отношений.

  1. Государство - сюда включается как государство в целом, так все его ответвления в виде различных ведомств, органов и организаций.
  2. Юридические лица и объединения.
  3. Физические лица.

Каждый из субъектов информационного взаимодействия по отношению к определенной информации может выступать как источником информации, так и потребителем информации, а в некоторых моментах одновременно принимать обе стороны.

5. Три свойства информационной безопасности - конфиденциальность, целостность, доступность

При рассмотрении свойств информации каждый уважающий себя специалист по защите информации должен помнить 3 главных кита на которых держится безопасность. В английском языке данной тройке даже выделено специальное определение CIA Triad.

railroad

  • Конфиденциальность. Свойство информации, позволяющее ограничить круг субъектов, имеющих доступ к информации, а также сохранить данную информацию в тайне от субъектов, не имеющих прав на доступ к таковой информации.

если говорить кратко, то это сохранение в тайне определенной части информации

Целостность. Свойство информации, позволяющее существовать данной информации в неискаженном виде (по отношению к некоторому фиксированную состоянию).

при этом субъекты как вы понимаете должны удовлетворять свойству конфиденциальности, т.е. иметь право на доступ к требуемой информации

6. Цели защиты автоматизированной системы и информации, циркулирующей в АС

Крайний вопрос, который сегодня рассмотрим, касается целей защиты АС и информации, которая находится в АС.

Цель обеспечения безопасности АС - защита субъектов данной АС, которые непосредственно участвуют в процессах информационного взаимодействия, от нанесения им различного рода ущерба (смотри здесь) в результате какого-либо воздействия на информацию и системы АС.

Цель защиты информации, находящейся в АС - предотвращение утечки, искажения, утраты, блокирования или незаконного распространения информации.

Статья получилась небольшой, да и затрагивает в основном теоретические сведения, касающиеся защиты информации в автоматизированной системе. Для себя уже выделил данный материал и понял, что практику придется рассмотривать иным способом. В скором времени буду выкладывать наработки того, что прохожу сам и как отрабатываю практические навыки в этом.

Все процессы, связанные с обработкой информации, могут подвергаться компьютерным атакам, направленным на нарушение свойств безопасности. Единственный способ исключить вероятность утечки данных — отказаться от обработки информации в электронном виде.


К свойствам безопасности информации относятся конфиденциальность, целостность, доступность, неотказуемость, достоверность, подотчётность и аутентичность:

  • конфиденциальность — информация недоступна третьим лицам;
  • целостность — информация не подвергалась искажению;
  • доступность — к информации есть непрерывный доступ;
  • неотказуемость — авторство информации можно доказать;
  • достоверность — информация соответствует эталонному поведению или состоянию;
  • подотчётность — состояния и жизненный цикл информации или информационной системы можно достоверно отследить;
  • аутентичность — в информацию гарантированно не вносились изменения.

Все меры по защите информации сводятся к тому, чтобы предотвратить нарушение вышеуказанных свойств.

Опасности для информации

Владельцы информационных систем, не придающие должного значения обеспечению защиты, рискуют утечкой, уничтожением или искажением важной информации, а также потенциальными судебными разбирательствами, денежными штрафами и ограничениями для бизнеса.

Тема защиты информации, в том числе персональных данных клиентов, сейчас крайне актуальна. Сотрудники компаний, включая руководителей высшего и среднего звена, стремятся повысить свою квалификацию в области информационных технологий и способов защиты информации. Для этого по вопросу снижения рисков информационной безопасности проводятся конференции, воркшопы и лекции.

Снижение рисков

Единственный способ, который мог бы исключить вероятность утечки данных в электронной форме, — это отказ от обработки информации в электронном виде. Но такие радикальные меры в XXI веке уже неприменимы, потребители привыкли к электронным сервисам, взаимодействию через интернет и гаджетам. Работа с электронными данными неизбежна, значит, нужно эти риски снижать, усиливая защиту информации.

Защита информации — непрерывный комплексный процесс, нацеленный на предотвращение нарушения свойств информационной безопасности и позволяющий снизить её риски.

Можно выделить несколько основных этапов защиты информации:

  1. Формирование требований по информационной безопасности.
  2. Создание системы защиты информации и её ввод в эксплуатацию.
  3. Эксплуатация и поддержание системы защиты информации в актуальном состоянии.

Формирование требований к защите информации

Чтобы сформировать требования к защите информации, первым делом нужно определить, существуют ли для вашей информационной системы критерии информационной безопасности, прописанные в законодательстве.

Если ваша система подпадает под действие перечисленных или иных законодательных актов, диктующих требования по защите информации, то все этапы защиты информации в вашей системе должны проводиться согласно требованиям соответствующих законов и подзаконных актов.

Если ваша система не обрабатывает информацию, подлежащую защите по закону, то вы можете самостоятельно определить, какие сведения и от чего нужно защищать. Именно владелец информации (в данном случае — заказчик) принимает решение о том, какие свойства безопасности информации необходимо обеспечивать.

Оценка угроз безопасности информации — важная задача, от качества выполнения которой зависит создание эффективной системы защиты.

Все угрозы с учётом их актуальности сводятся в единый перечень — так называемую модель угроз. Чтобы построить модель угроз, нужно выявить существующие риски и правильно оценить их актуальность.

Неадекватная оценка рисков может привести к перерасходу средств на создание системы защиты или наоборот — к недостаточной эффективности построенной системы. Вряд ли нужно строить бункер с защитой от бомбёжки, чтобы обеспечить безопасность данных о постоянных клиентах продуктового магазина. Аналогично не стоит держать флешку со всеми финансовыми отчётами, подготовленными для вас аудиторской компанией, на столе в приёмной.

Сформировать модель актуальных угроз можно как по методикам, предлагаемым ФСТЭК России, так и не следуя им в точности. В любом случае для получения качественного результата понадобится аналитик, который будет выполнять поставленную задачу в плотном контакте с компанией.

На основе модели актуальных угроз формируются требования к системе защиты. Логика простая: есть актуальная угроза — её нужно нейтрализовать. Для нейтрализации угроз, связанных с компьютерными вирусами, понадобятся антивирусные средства. Для защиты от сетевых атак — средства защиты сети. Как правило, требования к системе защиты содержат не конкретные наименования средств защиты информации, а их описания с точки зрения функций.

В итоге должен получиться перечень средств защиты с функциями, покрывающий перечень актуальных угроз.

Реализация системы защиты

После формирования требований к создаваемой системе защиты начинается этап её реализации. Подбираются средства защиты, создаются необходимые внутренние документы, всё это внедряется и настраивается, затем тестируется и запускается в эксплуатацию.

Внедрение, настройка, тестирование и ввод в эксплуатацию, как правило, не занимают много времени, если предварительное проектирование проведено качественно.

Если специалистов по защите информации нет среди сотрудников организации, для создания системы защиты привлекаются компании, специализирующиеся на построении соответствующих систем в соответствии с Федеральным законом №152-ФЗ. Одна из таких компаний — МРП-Интеллектуальные машины, предоставляющая полный комплекс услуг по защите персональных данных. Такой путь решения задачи отличается сравнительно большими единовременными вложениями при небольших регулярных затратах (регулярно придется платить только за некоторые лицензии, например за антивирус).

В качестве альтернативного варианта компании прибегают к так называемой безопасности в виде сервиса (Security as a Service — SecaaS). Сервисная модель позволяет решать задачу защиты информации на постоянной основе, не вкладываясь в наём дорогостоящих специалистов по информационной безопасности и минимизируя единовременные вложения во внедрение средств защиты. Сервисная модель, как правило, не требует крупных вложений на старте, но регулярные затраты будут более высокими, чем при создании собственной системы защиты информации.

Всё? Моя информация защищена?

Не совсем. Обеспечение информационной безопасности — непрерывный процесс. После начала промышленной эксплуатации необходимо выполнить ряд действий для эффективной защиты информации:

  • изучить и довести до сотрудников содержание инструкций по защите информации;
  • назначить лиц, ответственных за соблюдение условий и правил эксплуатации средств защиты;
  • регулярно обновлять программное обеспечение средств защиты, а также базы вирусных и сетевых угроз;
  • анализировать события безопасности, дорабатывать и настраивать системы защиты с учётом результатов анализа.

Выполнение указанных мероприятий не менее важно, чем правильность изначального решения по защите информации. Эффективность защиты информации напрямую зависит от правильной настройки средств защиты и актуальности версий их программного обеспечения, а также от соблюдения пользователями правил работы со средствами защиты.

Подводим итоги

Почти любая современная компания так или иначе связана с информационными технологиями, определенные её процессы работают с использованием программных продуктов и телекоммуникационных сетей.

Новые уязвимости, вирусы, атаки появляются каждый день. Для защиты от них регулярно выпускаются обновления программного обеспечения и баз данных, своевременная установка которых необходима и обязательна. Масштаб и схема работы системы должны постоянно изменяться в соответствии с изменениями объёмов информации и требований к её защите.

На мой взгляд, время, когда компании, не связанные с IT-сферой, могли игнорировать вопросы защиты информации, подходит к концу. Необходимо оценивать важность информационных ресурсов для функционирования процессов и адекватно защищать их.

Читайте также: